Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Microsoft Office 2019 pour éditions 32 bits
  • Microsoft Office 2019 pour éditions 64 bits
  • Microsoft Office LTSC 2021 pour éditions 32 bits
  • Microsoft Office LTSC 2021 pour éditions 64 bits
  • Microsoft Word 2013 Service Pack 1 (éditions 32 bits)
  • Microsoft Word 2013 Service Pack 1 (éditions 64 bits)
  • Microsoft Word 2016 (édition 32 bits)
  • Microsoft Word 2016 (édition 64 bits)
  • Windows 10 pour systèmes 32 bits
  • Windows 10 pour systèmes x64
  • Windows 10 Version 1607 pour systèmes 32 bits
  • Windows 10 Version 1607 pour systèmes x64
  • Windows 10 Version 1809 pour systèmes 32 bits
  • Windows 10 Version 1809 pour systèmes ARM64
  • Windows 10 Version 1809 pour systèmes x64
  • Windows 10 Version 21H2 pour systèmes 32 bits
  • Windows 10 Version 21H2 pour systèmes ARM64
  • Windows 10 Version 21H2 pour systèmes x64
  • Windows 10 Version 22H2 pour systèmes 32 bits
  • Windows 10 Version 22H2 pour systèmes ARM64
  • Windows 10 Version 22H2 pour systèmes x64
  • Windows 11 version 21H2 pour systèmes ARM64
  • Windows 11 version 21H2 pour systèmes x64
  • Windows 11 Version 22H2 pour systèmes ARM64
  • Windows 11 Version 22H2 pour systèmes x64
  • Windows Server 2008 pour systèmes 32 bits Service Pack 2
  • Windows Server 2008 pour systèmes 32 bits Service Pack 2 (Server Core installation)
  • Windows Server 2008 pour systèmes x64 Service Pack 2
  • Windows Server 2008 pour systèmes x64 Service Pack 2 (Server Core installation)
  • Windows Server 2008 R2 pour systèmes x64 Service Pack 1
  • Windows Server 2008 R2 pour systèmes x64 Service Pack 1 (Server Core installation)
  • Windows Server 2012
  • Windows Server 2012 (Server Core installation)
  • Windows Server 2012 R2
  • Windows Server 2012 R2 (Server Core installation)
  • Windows Server 2016
  • Windows Server 2016 (Server Core installation)
  • Windows Server 2019
  • Windows Server 2019 (Server Core installation)
  • Windows Server 2022
  • Windows Server 2022 (Server Core installation)

Résumé

Description de la vulnérabilité

Dans le cadre de son Patch Tuesday, en date du 11 juillet 2023, Microsoft a indiqué l'existence d'une vulnérabilité référencée CVE-2023-36884 [1] au sein de plusieurs versions de Windows et produits Office. Un score CVSSv3 de 8.3 lui a été attribué.

L'éditeur confirme qu'elle est activement exploitée de façon ciblée [2].

La vulnérabilité CVE-2023-36884 permet à un attaquant d'exécuter du code arbitraire à distance dans le contexte utilisateur à l'aide d'un document Microsoft Office spécialement conçu, préalablement transmis à l'aide de technique d'ingénierie sociale.

Le CERT-FR recommande fortement de mettre en œuvre les moyens d'atténuation proposés par l'éditeur en attendant la publication d'un correctif.

Cette alerte sera mise à jour de façon régulière au gré des nouveaux éléments qui nous seront communiqués.

Campagne d'exploitation

La CVE-2023-36884 aurait été exploitée, d’après Microsoft [4], par le mode opératoire Storm-0978 lors d’une campagne en juin 2023 contre des entités gouvernementales et du secteur de la défense européennes et nord-américaines à des fins d’espionnage. Le code malveillant utilisé par les attaquants suite à l’exploitation de cette vulnérabilité, présenterait des similarités avec la porte dérobée RomCom.

RomCom est un code malveillant découvert en août 2022 par PaloAlto [5], qui aurait été utilisé depuis octobre 2022 dans des campagnes d’espionnage contre des entités gouvernementales et militaires ukrainiennes ([6], [7]), et des entités des secteurs du gouvernement, de la défense, de la santé, des services numériques et de la logistique dans certains pays d’Europe et d’Amérique du Nord ([7], [8], [9], [10], [11], [4]).

Le code malveillant RomCom a été associé au groupe cybercriminel Cuba par plusieurs éditeurs de sécurité [5], [12]. Cuba est notamment connu pour avoir revendiqué l’attaque par rançongiciel contre le gouvernement du Monténégro en août 2022 [13].

Contournement provisoire

L'éditeur fournit un ensemble de mesures d’atténuation visant à limiter son exploitation. [1] [3]

Solution

Les mises à jour publiées par l'éditeur en août 2023 corrigent cette vulnérabilité [1].

Documentation